1、信息安全風險評估需求方案一、項目背景多年來，天津市財政局（地方稅務局）在加快信息化建設和 信息系統開發應用的同時， 高度重視信息安全工作， 采取了很多 防范措施，取得了較好的工作效果，但同新形勢、新任務的要求 相比，還存在有許多不相適應的地方。 2009 年，國家稅務總局 和市政府分別對我局信息系統安全情況進行了抽查， 在充分肯定 成績的同時， 也指出了我局在信息安全方面存在的問題。 通過抽 查所暴露的這些問題， 給我們敲響了警鐘， 也對我局信息安全工 作提出了新的更高的要求。因此，天津市財政局（地方稅務局）在對現有信息安全資源 進行整合、整改的同時，按照國家稅務總局信息安全管理規定， 結合本

2、單位實際情況確定實施信息安全評估、 安全加固、 應急響 應、安全咨詢、 安全事件通告、 安全巡檢、 安全值守、 安全培訓、 應急演練服務等工作內容（以下簡稱“安全風險評估”），形成 安全規劃、實施、檢查、處置四位一體的長效機制。二、項目目標通過開展信息“安全風險評估” , 完善安全管理機制；通過安全服務的引入， 進一步建立健全財稅系統安全管理策略， 實現 安全風險的可知、 可控和可管理； 通過建立財稅系統信息安全風 險評估機制， 實現財稅系統信息安全風險的動態跟蹤分析， 為財 稅系統信息安全整體規劃提供科學的決策依據， 進一步加強財稅 內部網絡的整體安全防護能力， 全面提升我局信息系統整體安全

3、 防范能力， 極大提高財稅系統網絡與信息安全管理水平； 通過深 入挖掘網絡與信息系統存在的脆弱點，并以業務系統為關鍵要 素，對現有的信息安全管理制度和技術措施的有效性進行評估， 不斷增強系統的網絡和信息系統抵御風險安全風險能力， 促進我 局安全管理水平的提高， 增強信息安全風險管理意識， 培養信息 安全專業人才，為財稅系統各項業務提供安全可靠的支撐平臺。三、項目需求（一）服務要求1 基本要求“安全風險評估服務”全過程要求有據可依，并在產品使 用有據可查， 并保持項目之后的持續改進。 針對用戶單位網絡中 的 IT 設備及應用軟件，需要有軟件產品識別所有設備及其安全 配置，或以其他方式收集、保存設

4、備明細及安全配置，進行資產收集作為建立信息安全體系的基礎。 安全評估的過程及結果要求 通過軟件或其他形式進行展示。 對于風險的處理包括： 協助用戶 制定安全加固方案、 在工程建設及日常運維中提供安全值守、 咨 詢及支持服務， 通過安全產品解決已知的安全風險。 在日常安全 管理方面提供安全支持服務， 并根據國家及行業標準制定信息安 全管理體系， 針對安全管理員提供安全培訓， 遇有可能的安全事 件發生時，提供應急的安全分析、緊急響應服務。2 安全評估評估的范圍應全面， 涉及到網絡信息系統的各個方面， 包括 物理環境、網絡結構、應用系統、數據庫、服務器及網絡安全設 備的安全性、 安全產品和技術的應用

5、狀況以及管理體系是否完善 等等；同時對管理風險、 綜合安全風險以及應用系統安全性進行 評估；評估采用專業工具掃描 （漏洞掃描、 數據庫掃描采用產品必 須為商業化產品） 、人工評估、滲透測試三種相結合的方式，對各種操作系統進行評估，包括：帳戶與口令安全、網絡服務安全、內核參數安全、文件系統安全、日志安全等；從應用系統相關硬 件、軟件和數據等方面來審核應用所處環境下存在哪些威脅，根據應用系統所存在的威脅，來確定需要達到哪些系統安全目標才 能保證應用系統能夠抵擋預期的安全威脅。其他評估內容應至少包括以下幾方面：信息探測類網絡設備與防火墻RPC服務Web服務CGI問題文件服務域名服務Mail服務Win

6、dows遠程訪問數據庫問題SQL注入跨站腳本攻擊后門程序其他服務網絡拒絕服務(DOS)其他問題安全評估服務范圍應包括但不只限于協助用戶完成2010年度信息安全專項檢查工作。3 安全加固 每次對用戶單位網絡信息系統進行全面評估后應立即制定安全加固方案， 另外如用戶單位有緊急需求時可隨時安排制定安 全加固方案。安全加固方案應覆蓋用戶單位 IT 系統中所有服務 器和網絡設備，以及不同類別的操作系統、數據庫和應用系統。安全加固方案不能影響用戶單位各項業務的正常進行， 如果 加固過程需要暫時中斷業務，須設計具體的解決方案。同時，隨著信息技術的發展，當新的漏洞出現時，評估單位 有責任和義務告知用戶， 并配

7、合用戶判定是否進行相應的加固工 作；4 緊急響應 當用戶單位信息系統出現安全事件后， 用戶可立即啟動緊急響應服務， 服務應包括遠程緊急響應和現場緊急響應； 緊急 響應均要求7X24小時提供。緊急響應要求在響應請求發出 2 小時內由工程師到達事故現場，協助用戶進行處理；響應服務完成后評估單位需整理詳細的事故處理報告， 內容至少包括事故原因分析、已造成的影響、處理辦法、處理結果、 預防和改進建議；5 安全咨詢評估單位應根據 ISO17799 等多個標準的相關要求對安全策 略、安全制度、安全流程進行審計，提供改進建議，建立信息安 全的“統一”策略管理機制，并對用戶單位信息安全體系建設規 劃、信息安全

8、管理體系、信息安全管理制度建設、安全域劃分等 相關內容提出符合國家及行業標準的合理化建議， 并制定完整的 解決方案。對于新建信息化項目應從業務需求分析、 系統設計、 部署實 施、測試驗收等全周期提供技術咨詢支持。6 安全事件通告 評估單位應具備專門的安全研究人員以跟蹤最新安全技 術發展、收集業界發布的最新安全信息及時通告用戶單位最新的 安全動態、安全技術的發展趨勢，以及時效性很強的漏洞、攻擊 手法、病毒碼的預先通知；評估單位至少每月提供一次匯總的安全通告信息， 當廠商或安全組織發布緊急安全通告后評估單位應在三天之內提供 給人保相關通告信息；及時提供最新的設備補丁， 隨時根據用戶需求， 提供相 應安全漏洞與響應的安全系統升級代碼； 及時向招標人提供國家 頒發的最新安全制度與法規。7 安全巡檢包括不限于以人工方式檢查主機系統和網絡設備的日志信 息、安全配置以及審計信息等，提出安全策略建議；如發現異常 現象或安全問題，及時向用戶單位反饋，并提供后續技術支持， 配合問題的查處和解決。 要求每月對安全防護產品進行一次巡檢 服務，并生成巡檢報告；每季度對所有主機、數據庫、網絡、安 全產品進行一次全面巡檢，并生成巡檢報告。8安